Hydra: fuerza bruta en un formulario http, se proporcionan todos los argumentos pero el error de inicio de sesión tiene otros formatos de cadena y es demasiado grande

1

Estoy usando Hydra para forzar la fuerza de un formulario http de inicio de sesión (Método: publicación), pero obtengo falsos positivos (contraseñas que no son válidas)

Creo que conozco la razón, simplemente no sé cómo manejarlo: El error de la solicitud produce el siguiente mensaje fallido que contiene cadenas como "é":

(el error solo se imprime en la pantalla, nada en la url). "Desolé: Vos détails de connexion n'ont pas été réconnus, réessayer." (este es el error que recibe al enviar credenciales de invalidez.

Así que he leído que la longitud y el formato de la cadena afecta la forma en que responde Hydra. Este es el comando que ejecuto:

hydra -l 588455 -P passwords.txt site.com http-post-form "/auth/login:username=^USER^&password=^PASS^:Désolé : Vos détails de connexion n'ont pas été reconnus, réessayer."

Así que mis preguntas son así:

1) ¿Estoy haciendo algo mal con respecto al comando anterior?

2) Dado que el error fallido es demasiado largo y contiene caracteres como "é,:" ¿Puedo adaptar Hydra para reconocer solo parte de la cadena de error, como " Désolé " solo?

3) Cuando el intento de inicio de sesión es válido, no se vuelve a sincronizar el éxito / fracaso, solo se redirige al usuario desde site.com/auth a site.com/home  ¿puedo avisar a Hydra cuando el usuario es redirigido a / home y una vez que se decide si una contraseña es válida o no? Si es así, ¿cómo puedo hacerlo?

4) He leído en documentos de Hydra que puedo usar la cookie arg para verificar si el inicio de sesión fue un éxito, no tengo idea o ejemplo. ¿Cómo puedo hacerlo? Muchísimas gracias y aprecio de antemano a todos, espero obtener algunas ideas.

Un inicio de sesión exitoso hace lo siguiente: redirige a enlace  ans establece la cookie: ci_session = e6971c0d444819e261cbfa89182f5da10ccc8bb0

    
pregunta Murphy Adam 13.07.2018 - 18:18
fuente

1 respuesta

1

Por lo general, querría que su cadena coincidente sea lo suficientemente larga como para evitar falsos negativos / positivos y nada más. Dado que su cadena incluye caracteres acentuados, también recomendaría encarecidamente que compruebe cómo los procesa la página de destino. Hydra buscará la fuente HTML, no cómo un navegador la renderizaría. Es posible que é se escriba como é en el código fuente HTML.

Además, dado que su inicio de sesión solo redirige en los inicios de sesión exitosos , puede valer la pena verificar el caso positivo (inicio de sesión exitoso) en lugar del caso negativo (inicio de sesión fallido). Hydra seguirá a las redirecciones, por lo que podría hacer coincidir el texto que solo aparece en la página de destino (por ejemplo, la presencia de un botón de "cerrar sesión"). Puede encontrar detalles sobre el uso de un caso de prueba positivo aquí .

En cuanto a la coincidencia de cookies, Hydra parece buscar la respuesta HTTP completa , encabezados incluidos. Dicho esto, es poco probable que el valor de cookie que publicaste sea útil. Es una cookie de sesión que debe ser única para cada visitante del sitio web. La mayoría de los sitios web establecerán una cookie de sesión incluso si el visitante no ha iniciado sesión. Si bien puede ser la cookie de sesión asignada a su inicio de sesión de prueba exitoso, es astronómicamente improbable que vuelva a tener el mismo valor.

    
respondido por el Mr. Llama 13.07.2018 - 18:55
fuente

Lea otras preguntas en las etiquetas